adozona.hu
Változhat az adatvédelmi incidensek bejelentése – itt az új bejelentősablon-tervezet
//adozona.hu/gdpr_adatvedelem/Uj_dokumentum_adatvedelmi_incidens_bejelent_JEG0EM
Változhat az adatvédelmi incidensek bejelentése – itt az új bejelentősablon-tervezet
Az adatvédelmi incidensek súlyos adatvédelemmel összefüggő jogsértések, amelyeket fő szabály szerint a felügyeleti hatóságnak is szükséges bejelenteni. A bejelentés a hatóságok online felületén, tagállamonként valamelyest eltérő módon történik, ezen változtatnának az egységes bejelentősablonnal – itt vannak a részletek.
Az adatvédelmi incidens és a kapcsolódó teendők
Az adatvédelmi incidens a személyes adatok kezelését és védelmét szabályozó 2016/679. számú általános adatvédelmi rendelet (GDPR) szerint a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az incidens lehet adathordozó elvesztése, nem tervezett informatikai leállás, postai küldemény vagy e-mail téves címzett számára történő megküldése vagy akár hackertámadás eredményeképpen történő jogosulatlan hozzáférés, bár ez utóbbi a legritkább. A GDPR 33–34. cikkei alapján az adatkezelőnek első lépésben az incidens érintettre gyakorolt kockázatát (kihatását) kell megállapítania. Az érintett az a személy, akinek az adatait az incidens érintette (például munkavállaló, ügyfél, kórház betege stb.).
| Adatvédelem/GDPR témakörben további írásokat az Adózóna oldalán itt olvashat. |
Ha az adatvédelmi incidens kockázattal nem jár, abban az esetben elegendő azt az adatvédelmiincidens-nyilvántartásba felvenni. Az adatkezelő ugyanis nyilvántartja az adatvédelmi incidenseket, feltünteti az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. Ha van kockázat, abban az esetben a nyilvántartásba vételen felül azt a hatóság (jelen esetben a NAIH) számára indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens az adatkezelő tudomására jutott, be kell jelenteni. A legcélszerűbb és legegyszerűbb az online bejelentési mód használata.
A bejelentés keretében
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; valamint
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Magas kockázat esetén az előbbieken felül (nyilvántartásba vétel, bejelentés) az érintetteket is tájékoztatni szükséges. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a GDPR-ban említett információkat és intézkedéseket.
Gyakorlati szempontok az incidens értékeléséhez
Ahhoz, hogy az adatvédelmi incidenshez kapcsolódó teendőket meg tudjuk tenni, ismerni kell a kockázati kategóriákat. Ehhez iránymutatást nyújtanak az Európai Adatvédelmi Testület segédletei, amelyekben példákon keresztül bemutatják az értékelési szempontokat és azok alkalmazásának módjait. Ez idáig az Európai Adatvédelmi Testület két ilyen segédletet adott ki, amelyek mind az EDPB, mind a NAIH honlapján megtekinthetőek.
Gyakorlati jelentősége van, hogy az adatkezelők előzetesen határozzák meg a tipikus incidenseket, és azokat kategorizálják be nincs kockázat, van kockázat, magas kockázat alapon. Ezt a sablont a hatóság a vizsgálatainál be is szokta kérni.
Ha az adatkezelő szervezete nagyobb, célszerű az incidenskezelésre eljárásrendet is elfogadni, amelyből kiderül, hogy kinek, milyen feladatai, kötelezettségei vannak, és hogyan működik a kivizsgálás folyamata. Célszerű továbbá a dolgozók részére belső képzést is tartani mind előzetesen, mind adatvédelmi incidens bekövetkezte esetén annak érdekében, hogy annak jövőbeni előfordulási esélye a minimálisra legyen csökkenthető.
Az egységes bejelentősablon szerepe
Az Európai Adatvédelmi Testület (EDPB) összhangban a Helsinki Nyilatkozattal és az abban megfogalmazott egységesítési törekvésekkel adatvédelmiincidens-bejelentési mintát tett közzé véleményezésre. Ennek célja az, hogy az egyes tagállamok azonos adatköröket kérjenek be az incidensek kapcsán, illetve azonos módon folytassák le az adatvédelmi incidensek kivizsgálását. A tervezet 2026. augusztus 5. napjáig véleményezhető. A bejelentőminta 30 oldalas, így annak kezdeti használata időtöbblettel fog bizonyára járni.
Ez engem is érdekel
Hozzászólások (0)